Czy Twój E-SKLEP jest już przygotowany na wejście RODO?

13 marca 2018

25 maja 2018 roku coraz bliżej. Dlaczego ta data jest dla Ciebie ważna?  Jako właściciel sklepu internetowego, a tym samym administrator danych osobowych powierzonych Ci przez jego klientów z dniem 25 maja 2018 roku musisz spełnić szereg dodatkowych obowiązków, aby legalnie je przetwarzać. Zignorowanie tych wymagań rodzi odpowiedzialność m. in. finansową.

Dlaczego warto przeczytać właśnie ten artykuł? Dlatego, że w Internecie brak krótkiego i merytorycznego wskazania, co tak naprawdę w praktyce oznacza RODO dla właściciela sklepu internetowego. Z tego też względu artykuł nie ma kompleksowego ujęcia wzajemnych relacji pomiędzy RODO a branżą e-commerce, lecz sygnalizuje praktyczne problemy jakie niesie RODO dla właścicieli sklepów internetowych.

 Aspekt bezpieczeństwa technicznego danych.

Czy ktoś powiedział Ci o tym, że w przypadku kontroli, w pierwszej kolejności weryfikacji będą podlegać stosowane przez Ciebie metody technicznego zabezpieczania posiadanych danych? RODO obliguje administratorów danych do dbania o techniczne zabezpieczanie danych tak samo mocno, jak do legalnego ich pozyskiwania. Samo sformułowanie Polityki bezpieczeństwa danych nie będzie wystarczające, dopóki Polityka ta nie znajdzie odzwierciedlenia w konkretnych rozwiązaniach fizycznych, jak i systemowych. Co więcej, RODO zawiera restrykcyjne regulacje dotyczące możliwości przechowywania danych poza Europejskim Obszarem Gospodarczym. Tym samym, weryfikację swojej gotowości na RODO powinieneś zacząć od postawienia sobie pytania: gdzie fizycznie znajdują się serwery, na których gromadzisz dane osobowe? Czy znajdują się one np. na terenie Unii Europejskiej, czy poza nią? Czy stosowane przez Ciebie rozwiązania gwarantują poufność i integralność danych? Czy umożliwią Ci spełnienie przesłanki rozliczalności, a więc czy w trakcie kontroli będziesz w stanie wykazać, że postępowałeś zgodnie z wymaganiami RODO, tj. czy stosowane przez Ciebie rozwiązania gwarantują wykazanie np. po dwóch latach od pozyskania danych osobowych, że sposób ich pozyskania był legalny w rozumieniu RODO? Pamiętaj, że udzielenie odpowiedzi na to pytanie umożliwi Ci podjęcie dalszych działań dostosowawczych. Dlatego warto zadać je już dziś. Jednocześnie nie oznacza to, że musisz teraz wydać fortunę na wprowadzanie nowych rozwiązań technicznych i IT do swojej działalności. RODO dopuszcza możliwość odstąpienia od stosowania pewnych rozwiązań czy zabezpieczeń, o ile przeprowadzona przez Ciebie analiza ryzyka wykaże  zasadność takiego postępowania. Jak przeprowadzić taką analizę? Wszystko zależy d kategorii danych, celów w jakich je przetwarzasz i branży w jakiej świadczysz usługi.

Legalność przetwarzanych danych.

Na pewno już wiesz, ze RODO wymaga, aby zgoda na przetwarzanie danych osobowych była wyrażona przez Klienta w drodze jednoznacznej, potwierdzającej czynności, a do tego w sposób dobrowolny i świadomy. Wiesz już zapewne również, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie będzie oznaczać zgody. Dodatkowo, zgoda będzie musiała dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie będzie służyć różnym celom, potrzebna będzie zgoda na wszystkie te cele. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Na pewno jako praworządny obywatel właśnie zaczynasz dostosowywać formularze zgód i zapytań do tych wymogów. Brawo, oznacza to, że najprawdopodobniej przetwarzanie wszystkich pozyskiwanych od teraz przez Ciebie danych osobowych będzie spełniać kryterium legalności sformułowane w RODO.  Ale co z danymi, które już posiadasz? Najprawdopodobniej podstawy na jakich przetwarzasz te dane nie spełniają już tego kryterium.  Czy oznacza to, że musisz je wykasować? Tak, chyba że dostosujesz podstawę prawną ich przetwarzania do wymagań RODO.  Masz na to niewiele ponad dwa miesiące, a przypuszczam, że baza którą posiadasz zawiera co najmniej kilka tysięcy rekordów. Pora zatem wdrożyć harmonogram legalizacji podstaw przetwarzania posiadanych danych osobowych  zgodnie z wymaganiami RODO – inaczej po wejściu w życie RODO będziesz te dane przetwarzał nielegalnie. Jak to zrobić, ponownie – zależy to od kategorii danych, celów w jakich je przetwarzasz i branży w jakiej świadczysz usługi.

Profilowanie Klientów w handlu elektronicznym.

Dla tych którzy nie wiedzą, profilowanie to inaczej zbieranie informacji o konsumencie na podstawie jego zachowań w sieci, w celu przesłania mu bardzie dedykowanej oferty, która z większym prawdopodobieństwem go zainteresuje. Aktualnie Klient nie musi do końca wiedzieć, że sklep stosuje taki mechanizm i nie musi wyrażać na niego zgody. RODO to zmienia. Od 25 maja 2018 r.  Klient sklepu internetowego musi mieć wiedzę, czy jest profilowany, czy nie i to na właścicielu sklepu będzie ciążył obowiązek informowania Klienta o profilowaniu! Co ważne, profilowanie będzie możliwe wyłącznie za wyraźną zgodą Klienta. Czy stosowane przez Ciebie formuły informacyjne oraz formuły zapytań uwzględniają tę okoliczność? Czy system, który obsługuje Twój sklep pozwala na profilowanie tylko tych Klientów, którzy wyrazili na to zgodę?

Wyrażanie zgody na przetwarzanie danych osobowych przez dzieci.

RODO udziela szczególnej ochrony danym osobowym dzieci. Jeżeli  osoba poniżej 16 roku życia będzie przekazywać sklepowi swoje dane osobowe i wyrażać zgodę na ich przetwarzanie,  okoliczność tę musi zaakceptować osoba sprawująca władzę rodzicielską lub opiekę nad tym dzieckiem. Jakie mechanizmy musisz zatem wprowadzić, by zweryfikować, czy masz do czynienia z osobą poniżej 16 roku życia? Stosując się do RODO, powinieneś, uwzględniając dostępną technologię, podjąć się w tym zakresie rozsądnych starań. Sprawdź zatem funkcjonalność swojego sklepu i pomyśl, w jaki sposób wzbogacić ją  o możliwość weryfikacji ww. okoliczności.

Nowe przepisy zaczną obowiązywać w tym samym momencie w całej Unii Europejskiej. Warto postarać się, aby Twój sklep internetowy był przygotowany na moment wejścia w życie RODO – w przeciwnym wypadku możesz zostać dotknięty surowymi karami. Kary mogą wynosić do 20 000 000 euro lub do 4% całkowitego obrotu przedsiębiorstwa za rok poprzedni. Pamiętaj, że nałożenie kary pieniężnej nie zwalnia Cię z ewentualnej odpowiedzialności cywilnej wobec osób, których dane dotyczą. Natomiast odpowiedzialność karna ma być co do zasady wyjątkiem przewidzianym dla najcięższych naruszeń przepisów i stanowić uzupełnienie dla odpowiedzialności administracyjnej oraz cywilnej. Powyżej zasygnalizowane zostały jedynie podstawowe kwestie zawarte w RODO, a istotne dla branży e-commerce. Rozporządzenie reguluje szereg innych, pomniejszych, które również powinny być uwzględnione w działalności sklepów internetowych. Nie lekceważ RODO i zapoznaj się z jego treścią i podejmij działania wdrożeniowe polegające m. in. na ograniczeniu do minimum pozyskiwanych i przetwarzanych danych, ogranicz okres ich przechowywania, spróbuj precyzyjnie określić cele przetwarzania  oraz sprawdź, czy stosowane zapytania są wystarczająco jasne i przejrzyste.